Een versleutelingssleutel opgeven voor een aanvraag voor Blob Storage

Clients die aanvragen indienen voor Azure Blob Storage, kunnen een AES-256-versleutelingssleutel bieden om die blob te versleutelen op een schrijfbewerking. Volgende aanvragen om naar de blob te lezen of schrijven, moeten dezelfde sleutel bevatten. Het opnemen van de versleutelingssleutel op de aanvraag biedt gedetailleerde controle over versleutelingsinstellingen voor Blob Storage-bewerkingen. Door de klant verstrekte sleutels kunnen worden opgeslagen in Azure Key Vault of in een ander sleutelarchief.

Lees- en schrijfbewerkingen versleutelen

Wanneer een clienttoepassing een versleutelingssleutel op de aanvraag levert, voert Azure Storage op transparante wijze versleuteling en ontsleuteling uit tijdens het lezen en schrijven van blobgegevens. Azure Storage schrijft een SHA-256-hash van de versleutelingssleutel naast de inhoud van de blob. De hash wordt gebruikt om te controleren of alle volgende bewerkingen voor de blob dezelfde versleutelingssleutel gebruiken.

Azure Storage slaat de versleutelingssleutel die de client verzendt met de aanvraag niet op of beheert deze niet. De sleutel wordt veilig verwijderd zodra het versleutelings- of ontsleutelingsporces is voltooid.

Wanneer een client een blob maakt of bijwerken met behulp van een door de klant verstrekte sleutel op de aanvraag, moeten volgende lees- en schrijfaanvragen voor die blob ook de sleutel opgeven. Als de sleutel niet is opgegeven in een aanvraag voor een blob die al is versleuteld met een door de klant opgegeven sleutel, mislukt de aanvraag met foutcode 409 (Conflict).

Als de clienttoepassing een versleutelingssleutel verzendt op de aanvraag en het opslagaccount ook wordt versleuteld met behulp van een door Microsoft beheerde sleutel of een door de klant beheerde sleutel, gebruikt Azure Storage de sleutel die is opgegeven in de aanvraag voor versleuteling en ontsleuteling.

Als u de versleutelingssleutel wilt verzenden als onderdeel van de aanvraag, moet een client een beveiligde verbinding met Azure Storage tot stand brengen met behulp van HTTPS.

Elke blob-momentopname of blobversie kan een eigen versleutelingssleutel hebben.

Objectreplicatie wordt niet ondersteund voor blobs in het bronaccount dat is versleuteld met een door de klant verstrekte sleutel.

Aanvraagheaders voor het opgeven van door de klant verstrekte sleutels

Voor REST-aanroepen kunnen clients de volgende headers gebruiken om veilig informatie over versleutelingssleutels door te geven aan een aanvraag voor Blob Storage:

Aanvraagkoptekst Beschrijving
x-ms-encryption-key Vereist voor zowel schrijf- als leesaanvragen. Een met Base64 gecodeerde AES-256-versleutelingssleutelwaarde.
x-ms-encryption-key-sha256 Vereist voor zowel schrijf- als leesaanvragen. De Base64-gecodeerde SHA256 van de versleutelingssleutel.
x-ms-encryption-algorithm Vereist voor schrijfaanvragen, optioneel voor leesaanvragen. Hiermee geeft u het algoritme op dat moet worden gebruikt bij het versleutelen van gegevens met behulp van de opgegeven sleutel. De waarde van deze header moet zijn AES256.

Het opgeven van versleutelingssleutels op de aanvraag is optioneel. Als u echter een van de bovenstaande headers voor een schrijfbewerking opgeeft, moet u deze allemaal opgeven.

Blob Storage-bewerkingen die door de klant verstrekte sleutels ondersteunen

De volgende Blob Storage-bewerkingen bieden ondersteuning voor het verzenden van door de klant verstrekte versleutelingssleutels op aanvraag:

Door de klant verstrekte sleutels draaien

Als u een versleutelingssleutel wilt draaien die is gebruikt om een blob te versleutelen, downloadt u de blob en laadt u deze opnieuw met de nieuwe versleutelingssleutel.

Belangrijk

De Azure Portal kan niet worden gebruikt om te lezen van of te schrijven naar een container of blob die is versleuteld met een sleutel die is opgegeven op de aanvraag.

Zorg ervoor dat u de versleutelingssleutel beveiligt die u opvraagt bij Blob Storage in een beveiligd sleutelarchief, zoals Azure Key Vault. Als u een schrijfbewerking probeert uit te voeren op een container of blob zonder de versleutelingssleutel, mislukt de bewerking en verliest u de toegang tot het object.

Functieondersteuning

Ondersteuning voor deze functie kan worden beïnvloed door het inschakelen van Data Lake Storage Gen2, Network File System (NFS) 3.0-protocol of het SSH File Transfer Protocol (SFTP).

Als u een van deze mogelijkheden hebt ingeschakeld, raadpleegt u de functieondersteuning voor Blob Storage in Azure Storage-accounts om ondersteuning voor deze functie te beoordelen.

Volgende stappen